از فوریهٔ ۲۰۲۴ تاکنون، یک بازیگر ناشناس تهدید بیش از ۱۰۰ وب‌سایت و افزونهٔ مخرب برای مرورگر Google Chrome ایجاد کرده است. این وب‌سایت‌ها هویت سرویس‌های شناخته‌شده‌ای مانند DeepSeek، Manus، DeBank، FortiVPN و Site Stats را جعل می‌کنند تا کاربران را به نصب افزونه‌های به‌ظاهر سودمند در Chrome Web Store ترغیب کنند. افزونه‌ها پس از نصب، کوکی‌های مرورگر را می‌ربایند، به اسکریپت‌های دلخواه از سرور مهاجم متصل می‌شوند و ارتباط WebSocket برقرار می‌کنند تا به‌عنوان پراکسی شبکه عمل کرده، ترافیک را مسیر‌یابی کنند و حتی فرمان‌های دلخواه اجرا نمایند.

تحلیل تیم DomainTools Intelligence نشان می‌دهد که فایل manifest.json این افزونه‌ها با درخواست مجوزهای گسترده، امکان تعامل با تمام وب‌سایت‌های بازدید‌شده را فراهم می‌کند؛ بنابراین افزونه قادر است کد دلخواه بارگذاری کرده، کاربر را به صفحات مخرب هدایت کند، در نتایج جست‌وجو دستکاری ایجاد کند و تبلیغات ناخواسته تزریق نماید.

تاکتیک دیگر افزونه‌ها استفاده از رویداد onreset روی یک عنصر موقتی در DOM است تا احتمالاً از سیاست امنیت محتوای (CSP) عبور کنند. همچنین مشاهده شده که مهاجمان با استفاده از شناسه‌های رهگیری Facebook، کاربران را از طریق صفحات و تبلیغات فیس‌بوک به وب‌سایت‌های جعلی هدایت کرده‌اند؛ روشی که رتبهٔ بالای این دامنه‌ها در جست‌وجوی گوگل و Chrome Web Store را تقویت می‌کند.

گرچه مشخص نیست قربانیان چگونه دقیقاً به این سایت‌ها هدایت می‌شوند، سناریوهای متداولی چون فیشینگ ایمیلی، پیام‌رسان‌ها و شبکه‌های اجتماعی محتمل است. پژوهش تازهٔ DomainTools نشان می‌دهد که نسخه‌های جعلی DeepSeek حتی امتیازدهی کاربران را دستکاری کرده‌اند: رتبه‌های ۱ تا ۳ ستاره را به فرم خصوصی بازخورد و رتبه‌های ۴ تا ۵ ستاره را به صفحهٔ رسمی Chrome Web Store می‌فرستند تا نظرات منفی در معرض دید عموم قرار نگیرد.

در حال حاضر هویت عامل یا عوامل این کمپین روشن نیست، اما گوگل افزونه‌های گزارش‌شده را از فروشگاه خود حذف کرده است. با این حال، احتمال بارگذاری مجدد یا ظهور نسخه‌های جدید وجود دارد. توصیه می‌شود کاربران فقط به توسعه‌دهندگان معتبر اعتماد کنند، مجوزهای درخواستی را با دقت بررسی نمایند، نظرات را با دیدهٔ انتقادی بخوانند و از افزونه‌های شبیه‌نما یا دارای نام و لوگوی مشابه اجتناب کنند.